ciao,
sono un utente nuovo-nuovo ... spero possiate aiutarmi

avevo il PC che mi dava schermata blu in avvio, appena prima che finisse di caricarsi XP servicepack 2 (senza aggiornamenti automatici scaricati da internet)

potevo entrare solo in modalità provvisoria. E mi sono accorto della presenza di questa cavolo di cartella HelpAssistant e relativo utente
Prima di trovare il vostro ottimo forum, ho trovate da altre parti molte guide su come togleire questo "rootkit".

quindi ho scaricato mbr.exe
ho disabilitato l'utente
cancellato la cartella
fatto regedit e cancellato i file di registo che mi venivano fuori dalla ricerca "helpAssistant"
lanciato HelpAssistantFix.bat (come consigliato da un sito di AVG , ossia del mio Antivirus)

a questo punto l'uternte non si ripresentava più, ma la BSOD mi impediva sempre di avviare normalmente XP

Con Your_Uninstaller ho provato a disinstallare l'aggiornamento di Adobe Reader 9.3.2_CPSID_53951 (ma non so se ci sono riuscito). L'ho fatto perchè questo aggiornamento si era installato pochi giorni prima dei problemi e pensavo potesse essere una causa. Invece non è cambiato niente

Poi mi sono insospettito perchè ho visto che c'era anche un altro account "Administrator" con relativa cartella in Documents and Settings che si era creata da pochi giorni. Allora ho provato a disabilitare anche questo (ma non posso toglierlo da "membro di" perchè mi dice che è un "utente incorporato".
Comunque anche questo non ha portato a risultati.

Alla fine ho trovato il vostro forum. Per probelmi simili avevate consigliato di scaricare ComboFix e HijackThis.
Allora ho fatto partire la disinstallazione di AVG free 9.0 e rivviato il PC. Misono dimenticato di premere F8 per la modalità provvisoria.... ma come per magia il PC è partito perfettamente. TUTTO ERA OK !

Dopo aver fatto il giro del quartiere a fare capriole di felicità (una felicità seconda solo alla Champions dell'Inter ) sono partito con le scansioni con ComboFix e HJT.
ComboFIX mi ha chiesto un riavvio del PC perchè aveva trovato "attività di rootkit" e ha eliminato 3 file
vi posto qui sotto i log.

So di aver scritto un casino di parole, ma spero che qualcuno abbia la voglia di leggere il tutto e farmi sapere se dai due log vi sembra che ci siano ancora problemi oppure se il mio PC è davvero guarito


grazie molte fin da adesso



ComboFix 10-05-25.03 - Alberto 26/05/2010 23.21.09.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1279.1031 [GMT 1:00]
Eseguito da: c:\documents and settings\Alberto\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\Internet Explorer\SETA2.tmp
c:\programmi\Internet Explorer\SETA3.tmp
c:\programmi\Internet Explorer\SETA5.tmp

.
((((((((((((((((((((((((( Files Creati Da 2010-04-26 al 2010-05-26 )))))))))))))))))))))))))))))))))))
.

2010-05-25 15:55 . 2010-05-25 13:19 77312 ----a-w- C:\mbr.exe
2010-05-25 15:55 . 2010-05-25 12:56 359656 ----a-w- C:\msicuu2.exe
2010-05-25 15:55 . 2010-05-25 12:49 5651144 ----a-w- C:\yusetup2010.exe
2010-05-25 02:20 . 2010-04-19 16:15 339 ----a-w- C:\HelpAssistantFix.bat
2010-05-25 02:12 . 2010-05-26 13:28 273 ----a-w- C:\HelpAssistantFix.zip
2010-05-25 02:12 . 2010-05-26 09:45 1402880 ----a-w- C:\HiJackThis.msi
2010-05-25 02:12 . 2010-05-26 08:33 388608 ----a-w- C:\HijackThis.exe
2010-05-24 21:36 . 2010-05-24 21:36 -------- d-----w- c:\documents and settings\Alberto\Dati applicazioni\URSoft
2010-05-24 21:36 . 2010-05-24 22:21 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-05-24 21:36 . 2010-05-24 21:36 -------- d-----w- c:\programmi\Your Uninstaller 2010

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 02:37 . 2009-12-26 21:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-05-18 00:14 . 2009-07-23 16:48 -------- d-----w- c:\documents and settings\Alberto\Dati applicazioni\Sports Interactive
2010-04-22 20:34 . 2010-04-22 20:34 242696 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgtdix.sys
2010-04-22 20:31 . 2010-04-22 20:31 1689952 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgupd.dll
2010-04-07 22:21 . 2009-12-13 15:02 20117 ----a-w- c:\documents and settings\Alberto\Dati applicazioni\mdbu.bin
2009-11-12 16:31 . 2009-11-24 12:20 1962544 ----a-w- c:\programmi\install_flash_player_ax.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NVMCTRAY.DLL" [2003-05-02 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-12-19 28672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"PWRISOVM.EXE"="c:\programmi\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CARPService"="carpserv.exe" [2001-12-22 4608]
"ConnMonitor"="c:\programmi\Alice Mobile Olicard 100\ConnMonitor.exe" [2009-06-18 401408]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\flexlm\\thinkflx.exe"=
"c:\\flexlm\\lmgrd.exe"=
"c:\\Programmi\\Sports Interactive\\Football Manager 2010\\fm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"4241:TCP"= 4241:TCP:Services
"6982:TCP"= 6982:TCP:Services
"9711:TCP"= 9711:TCP:Services
"9712:TCP"= 9712:TCP:Services
"1743:TCP"= 1743:TCP:Services
"1986:TCP"= 1986:TCP:Services
"7412:TCP"= 7412:TCP:Services
"7413:TCP"= 7413:TCP:Services

R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [24/06/2009 22.25.59 18128]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [24/06/2009 22.25.59 45072]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [24/06/2009 22.23.10 820197]
S3 pmx3gmdm;Olivetti USB Device for Legacy Serial Communication;c:\windows\system32\drivers\pmx3gmdm.sys [11/12/2009 12.14.02 103552]
S3 pmx3gnet;Olivetti USB-NDIS miniport;c:\windows\system32\drivers\pmx3gnet.sys [11/12/2009 12.14.19 117120]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = hxxp://alicemobile.mobi/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-NWEReboot - (no file)
AddRemove-Kalender - c:\windows\Uninstall_tkexe -kalender
AddRemove-SiS7002 - c:\windows\UnSiSUSB.exe PCI\VEN_1039&DEV_7002
AddRemove-SiS7012 - c:\programmi\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-26 23:26
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?B?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2010-05-26 23:27:35
ComboFix-quarantined-files.txt 2010-05-26 22:27

Pre-Run: 10.214.711.296 byte disponibili
Post-Run: 10.185.662.464 byte disponibili

- - End Of File - - 49AC0CC276E972B8940091F2DFD950EE



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.33.49, on 26/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://alicemobile.mobi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ConnMonitor] C:\Programmi\Alice Mobile Olicard 100\ConnMonitor.exe start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3255 bytes

sara' meglio che installi immediatamente un antivirus.
disinstalla adobe reader ed installa l ultima versione o ancora meglio(piu' leggero e meno attaccabile dai malware)questo software:
http://www.aiutamici.com/software?ID=11445 se opterai per quest ultimo non installare la ask toolbar.
prima di fare la ricerca hai visualizzato file e cartelle nascosti?
fai una scansione con questo:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'.
le pulizie del sistema le hai fatte?(temp,prefetch,ads ecc.ecc.)
devi aggiornare il sistema operativo.
se stai usando windows firewall devi optare per qualcos altro perchè in xp è un colabrodo.aggiorna internet explorer.
non ho capito bene una cosa:hai trovato un altro utente amministratore?
Fai:
Start\Esegui\ copia-incolla questa stringa:
control userpasswords2
Clicca ok.

Scrivimi qui, i nomi che trovi come account, in "Nome Utente".

solitamente le cartelle create dal rootkit sono nascoste,quindi magari prima abilita la visualizzazione di file e cartelle nascosti(pannello di controllo,opzioni cartella,visualizzazione,spunta"visualizzafile e cartelle nascosti" e leva la spunta a "nascondi file protetti dal sistema"clicca su "applica"e poi su "ok")poi fai start,cerca,digiti help assistant e vedi se trova qualcosa.processo inverso per rimettere le cose a posto.

guarda se ccleaner (clicca su strumenti)ti rileva il programma da eliminare,oppure puoi provare con questo:
http://www.aiutamici.com/software?ID=80254 c è anche la versione usb che non richiede installazione.

quando entri in mod.provvisoria è normale che ti chieda se vuoi entrare come administrator o come alberto,comunque fai quella prova che ti ho detto.

con ccleaner vai in opzioni,avanzate,e togli il segno di spunta a "cancella i file in windows temp solo se piu' vecchi di 24 ore"lascia il resto di default che tanto puliremo manualmente,ma sono operazioni che faremo assieme ad altre.

di firewall io mi trovo bene con outpost: http://software.aiutamici.com/software?ID=80361
ma se vai nella homepage,software,sicurezza,firewall,ne trovi altri con le schede e potrai scegliere quello che reputi il migliore per te.

fai la scansione con malwarebytes e fai sapere il risultato,ci aggiorniamo quando puoi,tanto oggi entrera' r16 che ne sa piu' di me,se ci sara' da eseguire script o qualcos altro te lo comunichera'.

@r16:il controllo all mbr l avrei fatto fare dopo mbam,ma tutto il resto.....pero' era mia intenzione cercare una tua bonifica di questo problema,per essere tranquillo e non dimenticare qualcosa.ne ho di strada da fare,tu controlla sempre,saremo tutti piu' tranquilli.ciao e buon tutto e grazie.

combofix per ora lascialo installato,poi lo eliminiamo con un disinstallatore apposito,assieme a tutte le pulizie che vanno fatte.
l utente administrator credo propio sia legittimo,se è quello che compare insieme a quello con il tuo nome quando entri in modalita' provvisoria e ti chiede come vuoi entrare,almeno se non ho capito male quanto hai scritto piu' sopra,comunque vedremo quando farai control userpasswords2 e ci dirai cosa trovi.
buon lavoro e a quando vuoi.

aggiornamento

control passwords2
ci sono solo io (alberto) nel gruppo Administaror. In "strumenti amministrazione" "gestione computer" ho disabilitato l'utente Administrator, lo riabilito?

OutPost installato.
continuano ad uscirmi finestre che mi chiedono se ogni determinato programma ha il diritto a iniziare una sessione internet. ma non è che capisco sempre bene cosa rispondere ... per esempio service.exe cos'è? Do sempre il consenso tranne se proprio mi insospettisco?

AVG intanto mi ha trovato subito: Trojan Dropper.Generic2.NAE (in due posti differenti)
e poi mi ha rilevato anche nella mia chiavetta USB I:\autorun.inf che se anche elimino ricompare. Formatterò tutta la chiavetta (giusto?)

con la ricerca (comprensiva di file nascosti) non ha trovato niente

RevoUnistallaler non vede Acrobar Reader e quindi ancora non sono riuscito a disinstallarlo completamente. Però ora mi accorgo che c'è AdobeActiveShare 1.2 che non ricordavo di aver installato. Ma serve a qualcosa?

eliminata la chiave di registro (che però si chiamava semplicemente C:\windows\htpatch.exe... ) con i 3 puntini finali e basta.

eliminate anche
C:\HiJackThis.msi
C:\HelpAssistantFix.bat
C:\HelpAssistantFix.zip

HelpAssistant lo avevo disabilitato e poi eliminato proprio del tutto.

Ora sto aspettando che MalwareBytes finisca la scansione, poi vi posterò il log.

Il resto mi sembra di averlofatto tutto come da istruzioni

grazie a tutti e due e buona notte

buongiorno Paolopa,
riabiliterò Administrator.

ecco il risultato di MalwareBytes (ha eliminato 4 file)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4149

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

27/05/2010 1.42.07
mbam-log-2010-05-27 (01-42-07).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 172929
Tempo trascorso: 40 minuti, 11 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Delete on reboot.
C:\WINDOWS\system32\Instm.exe (Worm.Palevo) -> Delete on reboot.


ho trovato ora sul vostro forumo questo link per eliminare il problema di autorun.inf
http://www.aiutamici.com/software?ID=11519
andava bene anche questo? cmq farò come hai detto tu.

scusa l'ignoranza.. ma dove sarebbe "tutti i programmi" ?

RIECCOMI, ciao
ecco quanto ho fatto

Administrator riabilitato. Ora quando digito control userpassword2 mi esce il mio nome + Administator. Avevo cancellato anche la cartella Document and setting\Administrator: è un problema?

Anche la chiavetta ora è sistemata
Ho poi scaricato l’ultimo aggiornamento sia di AVG, sia di MalwareBytes e ho messo gli aggiornamenti automatici di XP. Me ne ha installati una marea. Ho anche installato InternetExplorer 8
Adobe Reader c’è sempre, anche sotto “tutti i programmi” . Come faccio a toglierlo?

Questo è il risultato di mbr.exe-f :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Aspetto, per favore, di sapere se devo ancora fare qualcosa oppure se posso essere tranquillo che è tutto a posto adesso

Grazie
ciao

Ma c'è questa:

Significa, che c'è qualche settore secondario del MBR, che è danneggiato. (copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !)
Ma il settore principale, è corretto. (user & kernel MBR OK )
In pratica, il rootkit, è defunto, ma purtroppo qualche piccolo danno, se lo è portato nella tomba.
In ogni caso, il pc dovrebbe funzionare bene lo stesso.
Ciao.

avevo letto qui
http://www.grisoft.it/index.php?option=com_content&task=view&id=530&Itemid=110
che (come dice anche R16) la scitta user & kernel MBR OK indica che il tutto è neutralizzato.
meno male che l oconfermate anche voi

sotto "tutti i programmi" non c'è il "disinstallatore" di AdobeReader. Devo provare a reinstallarlo e poi disisntallarlo con REVO UNINSTALLER ?

per quanto riguarda la cartella ADministrator proverò a recuperarla dal cestino, perchè punti di riprsitno precedenti non ne avevo. Non so come mai ma quando ho cominciato ad avere problemi al PC mi son oaccorto che non avevo punti di ripristino vecchi e quindi non potevo tornare ad "una configurazione sicuramente funzionante"

ciao